0.前言

本文介绍了如何搭建Shibboleth，实现Shibboleth+Ldap的SSO解决方案

1.什么是Shibboleth

Shibboleth是一个基于标准的，实现组织内部或跨组织的网页单点登录的开源软件包。它允许站点为处于私有保护方式下的受保护的在线资源做出被通知的认证决定。

Shibboleth软件工具广泛使用联合的身份标准，主要是OASIS安全声称标记语言（SAML），来提供一个联合单点登录和属性交换框架。一个用户用他的组织的证书认证，组织（或IdP）传送最少的必要的身份信息给SP实现认证决定。Shibboleth也提供扩展的隐私功能，允许一个用户和他们的主站点来控制释放给每一个应用的属性。

Shibboleth项目作为一个Internet2中间件活动启动于2000年，这年晚些时候该项目和OASIS SAML工作组的工作相联系。Shibboleth1.0 于2003年发布，并快速被全世界的研究和教育机构使用。随着2005年SAML2.0的发布，2006年Shibboleth2.0也发布，SAML标准升级到包含所有的多边，由Shibboleth首创的元数据驱动方法。

Shibboleth作为开源软件开发，在Apache 软件许可证下发布。关于个别部件的更多信息可以在产品页面看到。

2.安装Shibboleth Identity Provider v3.2.1

1. 切换成root

sudo su 

2.下载Shibboleth Identity Provider v3.2.1

wget http://shibboleth.net/downloads/identity-provider/latest/shibboleth-identity-provider-3.2.1.tar.gz tar -xzvf shibboleth-identity-provider-3.2.1.tar.gz cd shibboleth-identity-provider-3.2.1

3.安装Shibboleth Idenentity Provider:

sh-3.2# ./install.sh  Source (Distribution) Directory (press <enter> to accept default): [/Users/zhaoyu.zhaoyu/Applications/shibboleth-identity-provider-3.3.2]  Installation Directory: [/opt/shibboleth-idp]  Hostname: [localhost.localdomain] testdomain.com SAML EntityID: [https://testdomain.com/idp/shibboleth]  Attribute Scope: [localdomain]  Backchannel PKCS12 Password:  Re-enter password:  Cookie Encryption Key Password:  Re-enter password:  Warning: /opt/shibboleth-idp/bin does not exist. Warning: /opt/shibboleth-idp/dist does not exist. Warning: /opt/shibboleth-idp/doc does not exist. Warning: /opt/shibboleth-idp/system does not exist. Warning: /opt/shibboleth-idp/webapp does not exist. Generating Signing Key, CN = testdomain.com URI = https://testdomain.com/idp/shibboleth ... ...done Creating Encryption Key, CN = testdomain.com URI = https://testdomain.com/idp/shibboleth ... ...done Creating Backchannel keystore, CN = testdomain.com URI = https://testdomain.com/idp/shibboleth ... ...done Creating cookie encryption key files... ...done Rebuilding /opt/shibboleth-idp/war/idp.war ... ...done  BUILD SUCCESSFUL Total time: 1 minute 14 seconds 

(from now "{idp.home}" == /opt/shibboleth-idp/)
4.导入 JST library (status界面会用到):

cd /opt/shibboleth-idp/edit-webapp/WEB-INF/lib wget https://build.shibboleth.net/nexus/service/local/repositories/thirdparty/content/javax/servlet/jstl/1.2/jstl-1.2.jar cd /opt/shibboleth-idp/bin ./build.sh -Didp.target.dir=/opt/shibboleth-idp

3.安装指引

3.1 安装apache tomcat 8

1.切换成root

sudo su -

2.修改tomcat的%{CATALINA_HOME}/conf/server.xml
将8080端口和8443端口的地方分别改成80和443

 <Connector port="80" protocol="HTTP/1.1"                                                                                                    connectionTimeout="20000"                redirectPort="443" />

3.生成证书文件

[chengxu@local]keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "./tomcat.keystore" 输入密钥库口令:   再次输入新口令:  您的名字与姓氏是什么? [Unknown]:  cheng 您的组织单位名称是什么? [Unknown]:  testdomain.com 您的组织名称是什么? [Unknown]:  testdomain.com 您所在的城市或区域名称是什么? [Unknown]:   您所在的省/市/自治区名称是什么? [Unknown]:   该单位的双字母国家/地区代码是什么? [Unknown]:   CN=cheng, OU=testdomain.com, O=testdomain.com, L=Unknown, ST=Unknown, C=Unknown是否正确? [否]:  是   输入 <tomcat> 的密钥口令   (如果和密钥库口令相同, 按回车):   再次输入新口令:  [chengxu@local]

4.修改tomcat的%{CATALINA_HOME}/conf/server.xml，使支持https协议

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"                 maxThreads="150" SSLEnabled="true" scheme="https" secure="true"                 clientAuth="false" sslProtocol="TLS"                  keystoreFile="/Users/chengxu/Shibboleth/tomcat/tomcat.keystore"                    keystorePass="xxx"/> 

5.发布Idp Web Application到Tomcat 8 container

vim %{CATALINA_HOME}/conf/Catalina/localhost/idp.xml

<Context docBase="/opt/shibboleth-idp/war/idp.war"          privileged="true"          antiResourceLocking="false"          swallowOutput="true"/>

4.配置host

vim /etc/host 127.0.0.1 testdomain.com

5.重启tomcat
%{CATALINA_HOME}/bin/catalina.sh stop
%{CATALINA_HOME}/bin/catalina.sh start
6.检测是否服务启动正常
访问https://testdomain/idp/status
或者/opt/shibboleth-idp/bin; ./status.sh

3.2 配置shibboleth连接ldap

编辑修改ldap.properties

vim /opt/shibboleth/conf/ldap.properties  idp.authn.LDAP.authenticator = bindSearchAuthenticator idp.authn.LDAP.ldapURL = ldap://ldap.example.it:389 idp.authn.LDAP.useStartTLS = false idp.authn.LDAP.useSSL = false idp.authn.LDAP.baseDN = cn=Users,dc=example,dc=org idp.authn.LDAP.userFilter = (uid={user}) idp.authn.LDAP.bindDN = cn=admin,cn=Users,dc=example,dc=org idp.authn.LDAP.bindDNCredential = ###LDAP ADMIN PASSWORD###

6.修改shibboleth ldap配置

vim /opt/shibboleth/conf/services.xml  把 <value>%{idp.home}/conf/attribute-resolver.xml</value> 改为 <value>%{idp.home}/conf/attribute-resolver-full.xml</value>

vim /opt/shibboleth-idp/conf/attribute-resolver-full.xml  注释掉下列代码，如果已经注释掉了就不动了（有些版本已经注释了）  <!-- <dc:StartTLSTrustCredential id="LDAPtoIdPCredential" xsi:type="sec:X509ResourceBacked">   <sec:Certificate>%     {idp.attribute.resolver.LDAP.trustCertificates}</sec:Certificate>   </dc:StartTLSTrustCredential> -->

重启tomcat

7.获取idp metadata.xml
https://testdomain.com/idp/shibboleth
注意metadata.xml文件中的validUntil属性，如果过期了则修改为未来的某个时间点

4.小结

至此我们完成了Shibboleth与LDAP集成的安装过程

下篇： 实现Shibboleth+Ldap到阿里云的单点登录

来自：https://yq.aliyun.com/articles/350531?tdsourcetag=s_pcqq_aiomsg&do=login&accounttraceid=87b0f203-5d81-4cb7-a986-49615e3962e2&do=login&do=login

2)选择Resources－Data sources进入配置数据源界面，选择
 Data Source Actions －>选择Create New Data Source,进入配置详细信息界面
主要内容例如下：
JNDI Name:   ->jdbc/mysql
Data Source URL  ->jdbc:mysql://localhost:3306/db
JDBC Driver Class-> com.mysql.jdbc.Driver

3)修改"conf"context.xml,全部内容如下:
<Context>
<Resource name="jdbc/mysql"
 auth="Container"
       type="javax.sql.DataSource"
 driverClassName="com.mysql.jdbc.Driver"
        url="jdbc:mysql://172.16.0.25/db"
 username="root"
       password="root"
 maxActive="100"
 maxIdle="30"
 maxWait="10000" />
</Context>
4)修改web.xml

打开%TOMCAT_HOME%"conf"web.xml,在的前面添加以下内容：
    <resource-ref>
    <description>DB Connection</description>
    <res-ref-name>jdbc/mysql</res-ref-name>
    <res-type>javax.sql.DataSource</res-type>
    <res-auth>Container</res-auth>
    </resource-ref>
    注意res-ref-name填写的内容要与在上文提到的JNDI Name名称一致。
 到这里，配置工作就基本完成了!

5)引用JNDI时用"java:comp/env/jdbc/mysql";
有的时候直接应用JNDI名就可以，比如WEBLOGIC8。而TOMCAT就是这么做。

6)JDBC驱动程序mysql-connector-java-5.0.0-beta-bin.jar
一定要放置到%TOMCAT_HOME%"common"lib下。
重启你的Tomcat服务。

来自: http://zf2000.bokee.com/5421704.html (有删减)

在tomcat配置文件server.xml中的<Connector ... />配置中，和连接数相关的参数有：
minProcessors：最小空闲连接线程数，用于提高系统处理性能，默认值为10
maxProcessors：最大连接线程数，即：并发处理的最大请求数，默认值为75
acceptCount：允许的最大连接数，应大于等于maxProcessors，默认值为100
enableLookups：是否反查域名，取值为：true或false。为了提高处理能力，应设置为false
connectionTimeout：网络连接超时，单位：毫秒。设置为0表示永不超时，这样设置有隐患的。通常可设置为30000毫秒。

其中和最大连接数相关的参数为maxProcessors和acceptCount。如果要加大并发连接数，应同时加大这两个参数。

web server允许的最大连接数还受制于操作系统的内核参数设置，通常Windows是2000个左右，Linux是1000个左右。Unix中如何设置这些参数，请参阅Unix常用监控和管理命令

tomcat默认可以使用的内存为128MB，在较大型的应用项目中，这点内存是不够的，需要调大。

Unix下，在文件{tomcat_home}/bin/catalina.sh的前面，增加如下设置：
JAVA_OPTS='-Xms【初始化内存大小】 -Xmx【可以使用的最大内存】'
需要把这个两个参数值调大。例如：
JAVA_OPTS='-Xms256m -Xmx512m'
表示初始化内存为256MB，可以使用的最大内存为512MB

4. 设置主页根目录
<Context  path=""  docBase="C:\myApp"  debug="0"  reloadable="true"></Context> 




来自:http://www.cnblogs.com/midnight/archive/2004/11/04/60398.html

    <welcome-file-list>
        <welcome-file>index.html</welcome-file>
        <welcome-file>index.htm</welcome-file>
        <welcome-file>index.jsp</welcome-file>
    </welcome-file-list>
 
  <filter>
   <filter-name>Set Character Encoding</filter-name>
   <filter-class>filters.SetCharacterEncodingFilter</filter-class>
   <init-param>
    <param-name>encoding</param-name>
    <param-value>GBK</param-value>
   </init-param>
  </filter>

  <filter-mapping>
   <filter-name>Set Character Encoding</filter-name>
   <url-pattern>/*</url-pattern>
  </filter-mapping>

1）保持这2句的字符编码一致:

 <%@ page contentType="text/html;charset=UTF-8" language="java"%>

<%@ page language="java" import="java.util.*,hy.*" pageEncoding="UTF-8"%>

2）数据库

在写JSP时,里面面有涉及到数据库操作,当保存时就会弹出

save could not be completed

原因是some characters could not be mapped using iso8859-1

<%@ page language="java" pageEncoding="GBK"%>

设成GBK或UTF－8就可以了，只要他里面的支持中文就ok了

3）eclipse设置

用eclipse 编写jsp页面或java类的时候,直接在页面里输入汉字，保存的时候出现"字符不能匹配ISO-8859-1"的错误提示，因为ISO-8859-1是 英文编码，不能识别汉字，我就想把它改为utf-8,可是我找不到能改变编码的地方，首先我打开工程的属性，在"info"里看到"Text file encoding"就世界把它改为utf-8，可是还是出现错误提示，搞了好半天还是搞不定它，就在网上找找看有没人遇到过这样的问题。对这个问题解答比 较多的是在"edit"---"set encoding"(好像这个是为单独的文件临时设置编码),可是我在eclipse里没找到(我用的是3.2，不知道是不是这个原因)，后来又找到一个 解释：设置默认编码：

window-->preferences-->general-->editor-->text file encoding，

我打开perferences还是没有找到，狂晕~~~~~~~~~，

接着看看别的地方有没有设置编码的地方，

还是没有找到..........

 又回到perferences，觉得还是在这里可以解决，呵呵，问题还是出在这里，

我找到"General"--"Content Types"，

右边有个树形的text，

展开找到"JSP",开始没发现，

那家伙躲在最低下...........，

大家不要像我粗心，

最低下有个"Default encoding"，

里面默认的是"ISO-8859-1",

终于找到了，

删掉"ISO-8859-1"填上"UTF-8"，

在点一下"update"，

OK。再保存，

就没有错误了..............

4）tomcat中设置server.xml

<Connector

            port="8080" maxHttpHeaderSize="8192"

            maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

            enableLookups="false" redirectPort="8443" acceptCount="100"

            connectionTimeout="20000" disableUploadTimeout="true" 

            URIEncoding="GBK" useBodyEncodingForURI="true" />

4）tomcat设置数据库数据源

<Context path="/roller" docBase="E:\MyWorks\Websites\4.5K\server\apache-tomcat\webapps\roller" debug="0">

  <Resource auth="Container"

      type="javax.sql.DataSource"

    driverClassName="com.mysql.jdbc.Driver"

    url="jdbc:mysql://localhost:3306/test?autoReconnect=true&amp;useUnicode=true&amp;characterEncoding=utf-8&amp;mysqlEncoding=utf8"

    username="root"

    password=""

    maxActive="20"

    maxIdle="3"

    removeAbandoned="true"

    maxWait="3000" />

  <!-- If you want e-mail features, un-comment the section below -->

  <!--

  <Resource auth="Container"

     type="javax.mail.Session"

     mail.smtp.host="mailhost.example.com" />

  -->

</Context>

5）提交表单

1 表单提交的数据，用request.getParameter(“xxx”)返回的字符串为乱码或者？？

2 直接通过url如http://localhost/a.jsp?name=中国，这样的get请求在服务端用request. getParameter(“name”)时返回的是乱码；按tomcat4的做法设置Filter也没有用或者用request.setCharacterEncoding("GBK");也不管用

原因：

1 tomcat的j2ee实现对表单提交即post方式提示时处理参数采用缺省的iso-8859-1来处理

2 tomcat对get方式提交的请求对query-string 处理时采用了和post方法不一样的处理方式。(与tomcat4不一样,所以设置setCharacterEncoding(“gbk”))不起作用。

解决办法：

首先所有的jsp文件都加上:

1 实现一个Filter.设置处理字符集为GBK。(在tomcat的webapps/servlet-examples目录有一个完整的例子。请参考web.xml和SetCharacterEncodingFilter的配置。)

1)只要把%TOMCAT安装目录%/ webapps\servlets-examples\WEB-INF\classes\filters\SetCharacterEncodingFilter.class文件拷到你的webapp目录/filters下，如果没有filters目录，就创建一个。

2)在你的web.xml里加入如下几行：

 <filter>

 <filter-name>Set Character Encoding</filter-name>

 <filter-class>filters.SetCharacterEncodingFilter</filter-class>

 <init-param>

 <param-name>encoding</param-name>

 <param-value>GBK</param-value>

 </init-param>

 </filter>

 <filter-mapping>

 <filter-name>Set Character Encoding</filter-name>

 <url-pattern>/*</url-pattern>

 </filter-mapping>

3)完成.

2 get方式的解决办法

1) 打开tomcat的server.xml文件，找到区块，加入如下一行：

URIEncoding=”GBK”

完整的应如下：

<Connector

port="80" maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

 enableLookups="false" redirectPort="8443" acceptCount="100"

 debug="0" connectionTimeout="20000"

 disableUploadTimeout="true"

 URIEncoding="GBK"

/>

2)重启tomcat,一切OK。

执行如下jsp页页测试是否成功

<%@ page contentType="text/html;charset=gb2312"%>

<%@ page import="java.util.*"%>

<%

 String q=request.getParameter("q");

 q = q == null? "没有值" : q;

%>

<HTML>

<HEAD><TITLE>新闻列表显示</TITLE>

<META http-equiv=Content-Type content="text/html; charset=gb2312">

<META http-equiv=pragma content=no-cache>

<body>

你提交了：

<%=q%>

<br>

<form action="tcnchar.jsp" method="post">

 输入中文:<input type="text" ><input type="submit" value="确定">

 <br>

 <a href="tcnchar.jsp?q=中国">通过get方式提交</a>

</form>

</BODY></HTML>

测试结果如果你输入文本框或者点超链都会显示:你提交了”中国”,说明成功!!!!!

6）　一不小心看到一个非常好的办法，可以让我们不必写

new String(st.getBytes("ISO8859_1"),"GBK")

。

详细如下

只要修改一个地方就行了，文件为: tomcat4/src/catalina/src/share/org/apache/catalina/connector/HttpReque stBase.java

找到protected void parseParameters()方法，把

if (encoding == null) encoding = "ISO-8859-1";

改为

if (encoding == null) encoding = "GBK";

然后编译

javac HttpRequestBase.java生成两个class文件.再然后用jar命令把它打包成原来的catalina.jar，覆盖原来的，最后重新启动tomcat就可以。

大多数商业化的J2EE服务器都提供一个功能强大的管理界面，且大都采用易于理解的Web应用界面。Tomcat按照自己的方式，同样提供一个成熟的管理工具，并且丝毫不逊于那些商业化的竞争对手。Tomcat的Admin Web Application最初在4.1版本时出现，当时的功能包括管理context、data source、user和group等。当然也可以管理像初始化参数，user、group、role的多种数据库管理等。在后续的版本中，这些功能将得到很大的扩展，但现有的功能已经非常实用了。Admin Web Application被定义在自动部署文件：CATALINA_BASE/webapps/admin.xml 。（译者注：CATALINA_BASE即tomcat安装目录下的server目录）

你必须编辑这个文件，以确定Context中的docBase参数是绝对路径。也就是说，CATALINA

_BASE/webapps/admin.xml的路径是绝对路径。作为另外一种选择，你也可以删除这个自动部署文件，而在server.xml文件中建立一个Admin Web Application的context，效果是一样的。你不能管理Admin Web Application这个应用，换而言之，除了删除CATALINA_BASE/webapps/admin.xml ，你可能什么都做不了。

如果你使用UserDatabaseRealm（默认），你将需要添加一个user以及一个role到CATALINA_BASE/conf/tomcat-users.xml文件中。你编辑这个文件，添加一个名叫“admin”的role 到该文件中，如下：

<role name="admin"/>

同样需要有一个用户，并且这个用户的角色是“admin”。象存在的用户那样，添加一个用户（改变密码使其更加安全）：

<ser name="admin"
password="deep_dark_secret"
roles="admin"/>

你完成这些步骤后，请重新启动Tomcat，访问http://localhost:8080/admin，你将看到一个登录界面。Admin Web Application采用基于容器管理的安全机制，并采用了Jakarta Struts框架。一旦你作为“admin”角色的用户登录管理界面，你将能够使用这个管理界面配置Tomcat。

2、配置应用管理（Manager Web Application）

Manager Web Application让你通过一个比Admin Web Application更为简单的用户界面，执行一些简单的Web应用任务。Manager Web Application被被定义在一个自动部署文件中：

 CATALINA_BASE/webapps/manager.xml

你必须编辑这个文件，以确保context的docBase参数是绝对路径，也就是说CATALINA_HOME/server/webapps/manager的绝对路径。（译者注：CATALINA_HOME即tomcat安装目录）

如果你使用的是UserDatabaseRealm，那么你需要添加一个角色和一个用户到CATALINA_BASE/conf/tomcat-users.xml文件中。接下来，编辑这个文件，添加一个名为“manager”的角色到该文件中：

<role name=”manager”>

同样需要有一个角色为“manager”的用户。像已经存在的用户那样，添加一个新用户（改变密码使其更加安全）：

<user name="manager"
password="deep_dark_secret"
roles="manager"/>

然后重新启动Tomcat，访问http://localhost/manager/list，将看到一个很朴素的文本型管理界面，或者访问http://localhost/manager/html/list，将看到一个HMTL的管理界面。不管是哪种方式都说明你的Manager Web Application现在已经启动了。

Manager application让你可以在没有系统管理特权的基础上，安装新的Web应用，以用于测试。如果我们有一个新的web应用位于/home/user/hello下在，并且想把它安装到/hello下，为了测试这个应用，我们可以这么做，在第一个文件框中输入“/hello”（作为访问时的path），在第二个文本框中输入“file:/home/user/hello”（作为Config URL）。

Manager application还允许你停止、重新启动、移除以及重新部署一个web应用。停止一个应用使其无法被访问，当有用户尝试访问这个被停止的应用时，将看到一个503的错误??“503 - This application is not currently available”。

移除一个web应用，只是指从Tomcat的运行拷贝中删除了该应用，如果你重新启动Tomcat，被删除的应用将再次出现（也就是说，移除并不是指从硬盘上删除）。 

3、部署一个web应用

有两个办法可以在系统中部署web服务。

1. 拷贝你的WAR文件或者你的web应用文件夹（包括该web的所有内容）到$CATALINA_BASE/webapps目录下。

2. 为你的web服务建立一个只包括context内容的XML片断文件，并把该文件放到$CATALINA_BASE/webapps目录下。这个web应用本身可以存储在硬盘上的任何地方。

如果你有一个WAR文件，你若想部署它，则只需要把该文件简单的拷贝到CATALINA_BASE/webapps目录下即可，文件必须以“.war”作为扩展名。一旦Tomcat监听到这个文件，它将（缺省的）解开该文件包作为一个子目录，并以WAR文件的文件名作为子目录的名字。

接下来，Tomcat将在内存中建立一个context，就好象你在server.xml文件里建立一样。当然，其他必需的内容，将从server.xml中的DefaultContext获得。

部署web应用的另一种方式是写一个Context XML片断文件，然后把该文件拷贝到CATALINA_BASE/webapps目录下。一个Context片断并非一个完整的XML文件，而只是一个context元素，以及对该应用的相应描述。

这种片断文件就像是从server.xml中切取出来的context元素一样，所以这种片断被命名为“context片断”。

举个例子，如果我们想部署一个名叫MyWebApp.war的应用，该应用使用realm作为访问控制方式，我们可以使用下面这个片断：

<!--
Context fragment for deploying MyWebApp.war
-->
<Context path="/demo"
docBase="webapps/MyWebApp.war"
debug="0" privileged="true">
<Realm className=
"org.apache.catalina.realm.UserDatabaseRealm"
resourceName="UserDatabase"/>
</Context>

把该片断命名为“MyWebApp.xml”，然后拷贝到CATALINA_BASE/webapps目录下。

这种context片断提供了一种便利的方法来部署web应用，你不需要编辑server.xml，除非你想改变缺省的部署特性，安装一个新的web应用时不需要重启动Tomcat。

4、配置虚拟主机（Virtual Hosts）

关于server.xml中“Host”这个元素，只有在你设置虚拟主机的才需要修改。虚拟主机是一种在一个web服务器上服务多个域名的机制，对每个域名而言，都好象独享了整个主机。实际上，大多数的小型商务网站都是采用虚拟主机实现的，这主要是因为虚拟主机能直接连接到Internet并提供相应的带宽，以保障合理的访问响应速度，另外虚拟主机还能提供一个稳定的固定IP。

基于名字的虚拟主机可以被建立在任何web服务器上，建立的方法就是通过在域名服务器（DNS）上建立IP地址的别名，并且告诉web服务器把去往不同域名的请求分发到相应的网页目录。因为这篇文章主要是讲Tomcat，我们不准备介绍在各种操作系统上设置DNS的方法，如果你在这方面需要帮助，请参考《DNS and Bind》一书，作者是Paul Albitz and Cricket Liu (O'Reilly)。为了示范方便，我将使用一个静态的主机文件，因为这是测试别名最简单的方法。

在Tomcat中使用虚拟主机，你需要设置DNS或主机数据。为了测试，为本地IP设置一个IP别名就足够了，接下来，你需要在server.xml中添加几行内容，如下：

Tomcat的server.xml文件，在初始状态下，只包括一个虚拟主机，但是它容易被扩充到支持多个虚拟主机。在前面的例子中展示的是一个简单的server.xml版本，其中粗体部分就是用于添加一个虚拟主机。每一个Host元素必须包括一个或多个context元素，所包含的context元素中必须有一个是默认的context，这个默认的context的显示路径应该为空（例如，path=””）。

5、配置基础验证（Basic Authentication）

容器管理验证方法控制着当用户访问受保护的web应用资源时，如何进行用户的身份鉴别。当一个web应用使用了Basic Authentication（BASIC参数在web.xml文件中auto-method元素中设置），而有用户访问受保护的web应用时，Tomcat将通过HTTP Basic Authentication方式，弹出一个对话框，要求用户输入用户名和密码。在这种验证方法中，所有密码将被以64位的编码方式在网络上传输。

注意：使用Basic Authentication通过被认为是不安全的，因为它没有强健的加密方法，除非在客户端和服务器端都使用HTTPS或者其他密码加密码方式（比如，在一个虚拟私人网络中）。若没有额外的加密方法，网络管理员将能够截获（或滥用）用户的密码。

但是，如果你是刚开始使用Tomcat，或者你想在你的web应用中测试一下基于容器的安全管理，Basic Authentication还是非常易于设置和使用的。只需要添加 和 两个元素到你的web应用的web.xml文件中，并且在CATALINA_BASE/conf/tomcat-users.xml文件中添加适当的 和 即可，然后重新启动Tomcat。

下面例子中的web.xml摘自一个俱乐部会员网站系统，该系统中只有member目录被保护起来，并使用Basic Authentication进行身份验证。请注意，这种方式将有效的代替Apache web服务器中的.htaccess文件。

<!--
Define the
Members-only area,
by defining
a "Security Constraint"
on this Application, and
mapping it to the
subdirectory (URL) that we want
to restrict.
-->
<security-constraint>
<web-resource-collection>
<web-resource-name>
Entire Application
</web-resource-name>
<url-pattern>/members/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>member</role-name>
</auth-constraint>
</security-constraint>
<!-- Define the Login
Configuration for
this Application -->
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>My Club
Members-only Area</realm-name>
</login-config>

6、配置单点登录（Single Sign-On）

一旦你设置了realm和验证的方法，你就需要进行实际的用户登录处理。一般说来，对用户而言登录系统是一件很麻烦的事情，你必须尽量减少用户登录验证的次数。作为缺省的情况，当用户第一次请求受保护的资源时，每一个web应用都会要求用户登录。

如果你运行了多个web应用，并且每个应用都需要进行单独的用户验证，那这看起来就有点像你在与你的用户搏斗。用户们不知道怎样才能把多个分离的应用整合成一个单独的系统，所有他们也就不知道他们需要访问多少个不同的应用，只是很迷惑，为什么总要不停的登录。

Tomcat 4的“single sign-on”特性允许用户在访问同一虚拟主机下所有web应用时，只需登录一次。为了使用这个功能，你只需要在Host上添加一个SingleSignOn Valve元素即可，如下所示：

<Valve className=
"org.apache.catalina.
authenticator.SingleSignOn"
debug="0"/>

在Tomcat初始安装后，server.xml的注释里面包括SingleSignOn Valve配置的例子，你只需要去掉注释，即可使用。那么，任何用户只要登录过一个应用，则对于同一虚拟主机下的所有应用同样有效。使用single sign-on valve有一些重要的限制：

1> value必须被配置和嵌套在相同的Host元素里，并且所有需要进行单点验证的web应用（必须通过context元素定义）都位于该Host下。

2> 包括共享用户信息的realm必须被设置在同一级Host中或者嵌套之外。

3> 不能被context中的realm覆盖。

4> 使用单点登录的web应用最好使用一个Tomcat的内置的验证方式（被定义在web.xml中的 中），这比自定义的验证方式强，Tomcat内置的的验证方式包括basic、digest、form和client-cert。

5> 如果你使用单点登录，还希望集成一个第三方的web应用到你的网站中来，并且这个新的web应用使用它自己的验证方式，而不使用容器管理安全，那你基本上就没招了。你的用户每次登录原来所有应用时需要登录一次，并且在请求新的第三方应用时还得再登录一次。

当然，如果你拥有这个第三方web应用的源码，而你又是一个程序员，你可以修改它，但那恐怕也不容易做。

6> 单点登录需要使用cookies。

7、配置用户定制目录（Customized User Directores）

一些站点允许个别用户在服务器上发布网页。例如，一所大学的学院可能想给每一位学生一个公共区域，或者是一个ISP希望给一些web空间给他的客户，但这又不是虚拟主机。在这种情况下，一个典型的方法就是在用户名前面加一个特殊字符（~），作为每位用户的网站，比如：

http://www.cs.myuniversity.edu/~username
http://members.mybigisp.com/~username

Tomcat提供两种方法在主机上映射这些个人网站，主要使用一对特殊的Listener元素。Listener的className属性应该是org.apache.catalina.startup.UserConfig，userClass属性应该是几个映射类之一。

如果你的系统是Unix，它将有一个标准的/etc/passwd文件，该文件中的帐号能够被运行中的Tomcat很容易的读取，该文件指定了用户的主目录，使用PasswdUserDatabase 映射类。

<Listener className=
"org.apache.catalina.startup.UserConfig"
directoryName="public_html"
userClass="org.apache.catalina.
startup.PasswdUserDatabase"/>

web文件需要放置在像/home/users/ian/public_html或者/users/jbrittain/public_html一样的目录下面。当然你也可以改变public_html 到其他任何子目录下。

实际上，这个用户目录根本不一定需要位于用户主目录下里面。如果你没有一个密码文件，但你又想把一个用户名映射到公共的像/home一样目录的子目录里面，则可以使用HomesUserDatabase类。

<Listener className=
"org.apache.catalina.startup.UserConfig"
directoryName="public_html"
homeBase="/home"
userClass="org.apache.catalina.
startup.HomesUserDatabase"/>

这样一来，web文件就可以位于像/home/ian/public_html或者/home/jasonb/public_html一样的目录下。这种形式对Windows而言更加有利，你可以使用一个像c:\home这样的目录。

这些Listener元素，如果出现，则必须在Host元素里面，而不能在context元素里面，因为它们都用应用于Host本身。

8、在Tomcat中使用CGI脚本

Tomcat主要是作为Servlet/JSP容器，但它也有许多传统web服务器的性能。支持通用网关接口（Common Gateway Interface，即CGI）就是其中之一，CGI提供一组方法在响应浏览器请求时运行一些扩展程序。

CGI之所以被称为通用，是因为它能在大多数程序或脚本中被调用，包括：Perl，Python，awk，Unix shell scripting等，甚至包括Java。

当然，你大概不会把一个Java应用程序当作CGI来运行，毕竟这样太过原始。一般而言，开发Servlet总要比CGI具有更好的效率，因为当用户点击一个链接或一个按钮时，你不需要从操作系统层开始进行处理。

Tomcat包括一个可选的CGI Servlet，允许你运行遗留下来的CGI脚本。

为了使Tomcat能够运行CGI，你必须做如下几件事：

1. 把servlets-cgi.renametojar （在CATALINA_HOME/server/lib/目录下）改名为servlets-cgi.jar。处理CGI的servlet应该位于Tomcat的CLASSPATH下。

2. 在Tomcat的CATALINA_BASE/conf/web.xml 文件中，把关于 CGI的那段的注释去掉（默认情况下，该段位于第241行）。

3. 同样，在Tomcat的CATALINA_BASE/conf/web.xml文件中，把关于对CGI进行映射的那段的注释去掉（默认情况下，该段位于第299行）。注意，这段内容指定了HTML链接到CGI脚本的访问方式。

4. 你可以把CGI脚本放置在WEB-INF/cgi 目录下（注意，WEB-INF是一个安全的地方，你可以把一些不想被用户看见或基于安全考虑不想暴露的文件放在此处），或者你也可以把CGI脚本放置在context下的其他目录下，并为CGI Servlet调整cgiPathPrefix初始化参数。这就指定的CGI Servlet的实际位置，且不能与上一步指定的URL重名。

5. 重新启动Tomcat，你的CGI就可以运行了。

在Tomcat中，CGI程序缺省放置在WEB-INF/cgi目录下，正如前面所提示的那样，WEB-INF目录受保护的，通过客户端的浏览器无法窥探到其中内容，所以对于放置含有密码或其他敏感信息的CGI脚本而言，这是一个非常好的地方。

为了兼容其他服务器，尽管你也可以把CGI脚本保存在传统的/cgi-bin目录，但要知道，在这些目录中的文件有可能被网上好奇的冲浪者看到。另外，在Unix中，请确定运行Tomcat的用户有执行CGI脚本的权限。

9、改变Tomcat中的JSP编译器（JSP Compiler）

在Tomcat 4.1（或更高版本，大概），JSP的编译由包含在Tomcat里面的Ant程序控制器直接执行。这听起来有一点点奇怪，但这正是Ant有意为之的一部分，有一个API文档指导开发者在没有启动一个新的JVM的情况下，使用Ant。

这是使用Ant进行Java开发的一大优势。另外，这也意味着你现在能够在Ant中使用任何javac支持的编译方式，这里有一个关于Apache Ant使用手册的javac page列表。

使用起来是容易的，因为你只需要在 元素中定义一个名字叫“compiler”，并且在value中有一个支持编译的编译器名字，示例如下：

<servlet>
<servlet-name＞jsp</servlet-name>
<servlet-class>
org.apache.jasper.servlet.JspServlet
</servlet-class>
<init-param>
<param-name>logVerbosityLevel
</param-name>
<param-value>WARNING</param-value>
</init-param>
<init-param>
<param-name>compiler</param-name>
<param-value>jikes</param-value>
</init-param>
<load-on-startup>3</load-on-startup>
</servlet>

当然，给出的编译器必须已经安装在你的系统中，并且CLASSPATH可能需要设置，那处决于你选择的是何种编译器。

10、限制特定主机访问（Restricting Access to Specific Hosts）

有时，你可能想限制对Tomcat web应用的访问，比如，你希望只有你指定的主机或IP地址可以访问你的应用。这样一来，就只有那些指定的的客户端可以访问服务的内容了。为了实现这种效果，Tomcat提供了两个参数供你配置：RemoteHostValve 和RemoteAddrValve。

通过配置这两个参数，可以让你过滤来自请求的主机或IP地址，并允许或拒绝哪些主机/IP。与之类似的，在Apache的httpd文件里有对每个目录的允许/拒绝指定。例如你可以把Admin Web application设置成只允许本地访问，设置如下：

<Context path=
"/path/to/secret_files" ...>
<Valve className="org.apache.
catalina.valves.RemoteAddrValve"
allow="127.0.0.1" deny=""/>
</Context>

如果没有给出允许主机的指定，那么与拒绝主机匹配的主机就会被拒绝，除此之外的都是允许的。与之类似，如果没有给出拒绝主机的指定，那么与允许主机匹配的主机就会被允许，除此之外的都是拒绝的。

------- dreamsky15(阿贤) 原创

准备工作：
分别到www.sun.com 和 www.apache.org 下载

JDK1.4 : j2sdk-1_4_2_04-windows-i586-p.exe
Tomcat5 : jakarta-tomcat-5.0.14.exe
apache2：apache_2.0.48-win32-x86-no_ssl.exe
jk2 : jakarta-tomcat-connectors-jk2.0.4-win32-apache2.0.49.zip

版本可能有所更新。

1.安装JDK1.4,指定安装在 C:\JDK1.4目录下；
2.确认80和8080端口不被占用，特别是IIS是否占用80端口，否则要修改端口设置；
3.安装Tomcat5.0，指定安装在C:\Tomcat5.0目录下，
 指定JAVA虚拟机目录为刚才安装的 C:\JDK1.4；
4.安装apache2,指定安装在 C:\ 根目录下，那么它自己会自动创建Apache2目录，
 得到 C:\Apache2 最终目录；
5.设置windows系统环境变量中的系统变量：

path:
 C:\JDK1.4\bin;C:\JDK1.4\jre\bin;

classpath:
 C:\JDK1.4;C:\JDK1.4\lib;C:\JDK1.4\lib\dt.jar;C:\JDK1.4\lib\tools.jar;C:\Tomcat5.0\common\lib\servlet-api.jar;C:\Tomcat5.0\common\lib\tools.jar;
6.重启电脑
7.用浏览器访问
http://localhost/  和 http://localhost:8080/ 
两个网站，它们分别是apache和Tomcat的默认首页；
如果不成功则要重新检查设置；
8.解压 jakarta-tomcat-connectors-jk2.0.4-win32-apache2.0.49.zip
9.在解压文件的 doc\mod_jk2 目录下有 INSTALL.txt 英文文档教你安装，你可以作为参照。
10.在解压文件的 modules 目录下有 mod_jk2.so 文件，将其复制到 C:\Apache2\modules；
11.在解压文件的 conf 目录下有 workers2.properties.sample文件，将其复制到 C:\Apache2\conf 目录下，将文件名改为workers2.properties，增加两行：
[uri:/*.jsp]
group=lb

这表明要Tomcat解释所有以 jsp 为后缀的文件。

增加
[uri:/servlet/*]
group=lb

这表明要Tomcat解释/servlet/目录下的所有文件，
所以所有servlet最好映射到 /servlet/ 路径下，其他的文件不要放到这个目录下。
（注:tomcat中所有没有在 web.xml 中注册的 servlet默认映射到 /servlet/ 路径下。
但前提条件是你要修改tomcat的 web.xml ,去掉两处 <servlet-name>invoker</servlet-name>的注释，来激活这个功能。)

这样做，是为了令到Tomcat专职解释所有 jsp 和 servlet ，而将 html,txt等类型的文件交给强大的Web服务器——apache解释，各司其职，分担Tomcat的压力。

12.备份好C:\Apache2\conf\httpd.conf防止不测，修改 C:\Apache2\conf\httpd.conf 文件，原文件有很多行LoadModule，
在其后增加一行：
LoadModule jk2_module modules/mod_jk2.so
这个在 INSTALL.txt 英文文档里有说；

找到 DocumentRoot "C:/Apache2/htdocs" ，修改为你指定的根目录
DocumentRoot "C:/Tomcat5.0/webapps"

正反斜杠无所谓，最好用 / ;

同样找到<Directory "C:/Apache2/htdocs">
修改为<Directory "C:/Tomcat5.0/webapps">

找到 DirectoryIndex index.html index.html.var
在后面增加 index.jsp 使得apache将index.jsp也作为默认首页。

13.将原来 <VirtualHost *:80> 相关的设置注释去掉，自定义你的实际参数；
其中
DocumentRoot /www/docs/dummy-host.example.com
改为DocumentRoot "C:/Tomcat5.0/webapps"
将 AddDefaultCharset ISO-8859-1 改为
AddDefaultCharset gb2312
使得apache默认是简体中文。
14.
启动Tomcat5.0,apache2
你会看到apache service monitor 控制台窗口下的状态栏文字由原来的
Apache/2.0.48 (Win32)
变为
Apache/2.0.48 (Win32) mod_jk2/2.0.4

分别访问 http://localhost/jsp-examples/ 和
http://localhost:8080/jsp-examples/
测试其中的jsp例子，如果都能正确运行，证明配置成功！！！
恭喜你！ :)

有错误或疑问，请多多交流。